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(54) Pro cede de mise a jour d'une carte a memoire. 

(57) La carte contient notamment, un compteur irreversible, un solde et un certificat prouvant Tintegrite 
des informations precedentes. Le contenu de la carte ne peut etre mis a jour que par des terminaux 
connaissant les secrets de calcul du certificat. Grace au compteur irreversible qui intervient dans le 
calcul du certificat, il n'est pas possible de recharger dans la carte un contenu anterieur (solde/certi- 
ficat), car un tel rechargement necessite d'incrementer le compteur, ce qui rend caduc le certificat 
anterieur. 
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Domains technique 

La presente invention a pour objet un procede de mise a jour d'une carte & memoire. Elle trouve une ap- 
plication dans ce qu'on appelle la monnaie electron ique et plus particulierement dans les systemes d prepaie- 
ment dits ouverts. On designe par Id des systemes impliquant un organisme emetteur de monnaie eiectroni- 
que, des utilisateurs possedant des cartes prechargees par I'emetteur, et des terminaux aptes a fournir cer- 
taines prestations, d debiter les cartes en consequence et d collecter les montants provenant de plusieurs car- 
tes. L'organisme proprietaire deces terminaux estretribue parTemetteurselon la quantite d'unites qu'il a col- 
lectees. Le caractere "ouvert" de certains de ces systemes vient de ce que l'organisme emetteur n'est pas ne- 
cessairement confondu avec les prestataires possedant les terminaux. 

Si Tinvention s'applique de manure privilegiee d de tels systemes, parce qu'elle permet de r6soudre cer- 
tains problemes lies au caractere "ouvert", elle n'est pas limitee pour autant d ces seuls systemes et pourrait 
aussi bien s'appliquer a des systemes fermes, ou l'organisme Emetteur serait le proprietaire des terminaux. 

Etat de la technique anterieure 

Comme tous les systemes & cartes portatives, les systemes d prepaiement posent des problemes de se- 
curite. Le probleme est d'autant plus ardu pour les systemes ouverts que les terminaux doivent prouver a l'or- 
ganisme emetteur I'authenticite des montants qu'ils ont collects. Acette fin, chaque terminal doit etre equipe 
d'un module de securite. 

Ces problemes de securite peuvent etre mieux percus en passant en revue quelques risques de fraudes 
qu'il faut eviter : 

risque a) : alteration des donnees echangees : 

il ne doit pas etre possible, par interposition de dispositifs informatiques entre une carte et un module 
de security, de modifier les donn6es transmises pour, par exemple, cr6diter un module de securite de plus 
d'unites qu'il n'en a ete debite dans la carte ; 
risque b) : ^utilisation des donnees echangees : 

il ne doit pas etre possible de repeter les echanges de donnees, par exemple pour crediter plusieurs 
fois un meme module de securite a partir d'un seul debit d'une carte ; 
risque c) : interposition d'un autre module de securite : 

il ne doit pas etre possible d'interposer un second module de securite et de crediter les deux modules 
de securite a partir d'un seul debit d'une carte ; 
risque d) : alteration du contenu d'une carte : 

il ne doit pas etre possible d'altererle contenu d'une carte de fapon a en augmenter illicitement le pouvoir 
d'achat. 

Tous ces problemes peuvent etre resolus par I'introduction, dans la carte, d'un microprocesseur aptes a 
effectuer diverses operations de verification, embrouillage des donnees, authentification, signature, etc... 

Cette solution donne satisfaction a certains egards. Elle presente neanmoins ('inconvenient d'etre cou- 
teuse car elle necessite I'introduction d'un microprocesseur dans chaque carte. 

On connait par le document EP-A-0 423 035, un systeme de paiement ou de transfert d'informations par 
carte a memoire electronique porte-monnaie, qui evite I'emploi d'un microprocesseur. Ce systeme comprend 
diverses zones memoire, dont une zone contenant I'identite du titulaire, une zone contenant un certif icat, une 
zone contenant un compteur, une zone contenant un solde et une zone contenant un code secret. 

Le compteur compte le nombre d'operations f inancieres effectuees avec la carte. Le certif icat est fonction 
de I'identite du titulaire. du contenu du compteur et du solde. 

Ce systeme ne resout pas parfaitement les problemes de securite, en ce sens qu'il n'6vite pas que de la 
fausse monnaie puisse etre creee. En effet, les zones memoire contenant le certif icat et le solde sont effaga- 
bles et inscriptibles sans aucune contrainte. Rien n'empeche done de debiter une carte porte-monnaie de 10 
unites par exemple et de crediter deux terminaux de 10 unites. On aura ainsi cree 10 unites de fausse monnaie. 

La presente invention a justement pour but de remedier & cet inconvenient. 

Expose de Tinvention 

La presente invention reprend certaines des operations divulguees par le document cite (incrementation 
d'un compteur, formation d'un certificat), mais elle ajoute a celles-ci des operations qui evitent tout risque de 
creation de fausse monnaie. Pour cela, le calcul du certificat tient compte de I'identite du module de securite, 
de sorte que deux certif icats calcuies par deux terminaux differents pour une meme carte porte-monnaie et 
pour la meme transaction seront necessairement differents. Par ailleurs, pour ef facer le certificat et le r66crire, 
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it faudra necessairement incrementer le compteur. Enf in, les terminaux authentif ient la carte porte-monnaie 
et son contenu avant et apres la transaction. 

De facon precise, la presente invention a done pour objet un procede de mise a jour d'une information (tr) 
contenue dans une partie (Tr) d'une memoire (M) contenue dans une carte a memoire (CM), a I'aide d'un ter- 
5 minal (T) equipe d'un module de securite (MS), la memoire (M) contenant une zone compteur (C), le contenu 
de la partie (Tr) de la memoire (M) a mettre a jour comprenant un certifcat (d) contenu dans une zone (D) de 
la partie (Tr), ce certif icat etant une fonction determinee (g) de I'identite (i) de la carte, d'un solde (b) contenu 
dans une autre zone (B), du contenu (c) de la zone compteur (C), ce procede consistant a : 

- incrementer d'une unite te contenu (c) de la zone compteur (C) avant toute mise a jour de ia partie (Tr), 
10 - effacer I'ancien contenu (tr) de la partie (Tr) de la memoire (M) et y inscrire a la place un nouveau contenu 

(tr') mis a jour, 
ce procede etant caracterise par le fait que : 

- le certificat (d) est en outre une fonction de I'identite (j) du module de securite (MS) ayant effectue la 
derniere mise a jour, 

is - pour effacer le certificat contenu dans la zone (D) et reecrire le certificat mis a jour, on incremente ia 

zone compteur (C), 

- le terminal (T) authentif ie la carte (CM) et son contenu (m) avant et apres la mise a jour. 

Les cartes peuvent etre authentif iees grace a un processus challenge-reponse qui est classique en se- 
curite informatique : le terminal envoie a la carte un challenge x, qui est choisi en general aleatoirement ou 
20 different des valeurs deja utilisees. La carte calcule une fonction Y=f(x,m) ou m represente le contenu de sa 
memoire. Le terminal peut alors acquerir la certitude que la carte est authentique, ainsi que son contenu, en 
faisant de son c6te le meme calcul pour verifier Y. Pour que ce processus ne soit pas imitable, it faut qu'il y 
ait un secret quelque part : par exemple, la memoire doit contenir une cl6, non lisible de I'exterieur, mais que 
le terminal ou Tordinateur qui lui est raccorde connaTt ou sait reconstituer.Ainsi, le terminal peut authentif ier 
25 la carte et son contenu. 

De preference, le solde (b) contenu dans la zone (B) est un solde financier, le procede etant alors un pro- 
cede de paiement correspondant a une prestation. 

Pour prevenir toute possibility de retour en arriere (changer b',d' en b,d, (ce qui aurait pour effet d'ef facer 
la derniere consommation), un mecanisme de "cliquet" est mis en oeuvre grace a la zone memoire C. La carte 
30 comprend des moyens tels que le contenu de la zone C doit etre incremente avant la mise a jour des zones 
B, D et J, (ce qui necessite un effacement prealable de ces zones). La zone C est une zone qui, au depart, 
peut etre a zero, et dans laquelle des bits peuvent etre simplement ecrits, mais non effaces. 

Le calcul du certificat d prend en compte ta valeur c de ce compteur. Ainsi, modifier (b',d') en (b,d) n'est 
pas possible sans que soit incremente c. Mais alors le certificat d n'est plus correct, puisque calcule avec ie 
35 c precedent. 

Le calcul du certificat d doit aussi prendre en compte le numero j du module de securite, de facon a lier, 
lors d'une transaction, une carte a un module de securite particulier et eviter la fraude de type c, telle que de- 
crite plus haut. 

Lorsque le procede de I'invention est un procede de paiement, il comporte, de preference, les operations 
40 suivantes : 

a) verifier qu'un certificat (d) contenu dans une zone (D) de la partie (Tr) de la carte est bien une fonction 
determinee (g) de I'identite de la carte (i), de son solde (b), du contenu (c) d'une zone memoire (C) jouant 
le role de compteur, et de I'identite (j) du dernier module de securite ayant effectue la derniere transaction, 

b) calculer, dans le module de securite (MS), un nouveau solde (b*) qui differe de I'ancien (b) d'un certain 
45 nombre d'unites (n), correspondant a une prestation, 

c) calculer, dans le module de securite (MS), un contenu de compteur (c') egal a I'ancien contenu (c) aug- 
ments d'une unite (c'=c+1), 

d) calculer un nouveau certificat (d') egal a ladite fonction (g) de I'identite de la carte (i), du nouveau solde 
(b'), du nouveau contenu (c') du compteur et de I'identite 0') du module de securite (MS), 

50 e) incrementer d'une unit6 le contenu (c) de la zone memoire (C) de la carte jouant le role de compteur 

(c'=c+1), 

f) si et seulement si ce contenu (c*) a ete effectivement incremente, il est possible d'effacer de la partie 
(Tr) son ancien contenu (tr) constitue par I'ancien solde (b), I'ancien certificat (d) et I'ancienne identite (j) 
du dernier module de securite utilise et y inscrire a la place un nouveau contenu (tr') constitue par le nou- 

55 veau solde (b'), le nouveau certificat (d') et I'identite (j') du module de securite du terminal, 

g) authentif ier par le module de securite (MS) ia carte (CM) et au moins I'identite (j) du nouveau contenu 
(tr') de la zone (Tr), 

h) en cas d'authenticite, modifier le solde (s) du module de securite de la quantite (n) correspondant a la 

3 




BNSDOC1D- <EP 0621570A1 I > 



EP 0 621 570 A1 



modification du solde de la carte (s'=s+n). 

Ce proc6de permet bien d'eviter les risques def inis plus haut & savoir, respectivement : 
risque a) le module de securite authentif ie la carte au debut de la transaction et apres mise a jour des 
donnees ecrites dans la carte ; il n'est done pas possible de modifier les donn6es transmises ; 
risque b) le module de security authentif ie la carte avant et apr£s la transaction et choisit les challenges ; 

on ne peut done lui soumettre a nouveau les donnees d'un premier echange telles quelles ; 
risque c) si la transaction devait s'effectuer entre deux modules de securite differents, done d'identites 



differentes respectivement j1 et j2, il faudrait, pour une meme valeur c de la zone compteur C, 
inscrire deux series de donnees differentes, Tune T1 relative a j1 et Pautre, T2, relative a j2 ; 
mais pour effacer T1 afin d'ecrire T2, il faudrait n^cessairement incr6menter le contenu de la 
zone compteur C, ce qui rendrait invalide T2 ; on ne peut done crediter deux modules de s6curite 
& partir d'un meme debit affectant une seule carte. 



risque d) on ne peut modifier le solde b car le certif icat d dependant de facon secrete du solde b, il est 



impossible de trouver la valeur correspondante de d, et une valeur fausse serait detectee lors 
de la transaction suivante ; pour remettre la carte dans un 6tat anterieur, il faudrait done effacer 
son contenu c, ce qui impliquerait d'incrementer le contenu du compteur C ; les anciennes va- 
leurs du certif icat d serait alors incorrectes, le module de s6curite impliquS dans la transaction 
le detecterait et la carte ne serait done plus utilisable. 



Expose detaille d'un mode de realisation 

On va d6crire, ci-apr6s, une procedure d6taill6e d'6change d'ordres et de donn6es entre une carte a m6- 
moire, un terminal et son module de securite. Les lettres majuscules d6signent des zones m6moire ou des 
dispositifs alors que les minuscules correspondantes designent le contenu de ces zones. La carte & m6moire 
est notee CM, son identity est i. Le terminal est note T. Le module de securite en service est note MS et son 
identity est not6e j\ sachant que celle du module ayant effectue la transaction pr6c6dente 6tait j. 

Les operations mises en oeuvre sont alors les suivantes : 

1. T demande a MS de choisir un al6a ; 

2. MS choisit et memorise un alea, soit x ; 

3. MS transmet x & T ; 

4. T demande a CM de lire le contenu m de la memoire M ; 

5. CM lit M et transmet m a T ; 

6. T demande a CM de s'authentif ier a I'aide de I'alea x ; 

7. CM calcule Y=f(m,x) ; 
8 CM transmet Y a T ; 

9. T transmet Y et m a MS ; 

10. MS calcule f(x,m) et v6rifie que Y est bien egal a f(x,m) 

11. T demande a MS de verifier le certif icat d ; 

12. MS calcule D=g(i,b,cj) ; 

13. T communique a MS le debit a effectuer n ; 

14. MS calcule la nouvelle valeur du solde d'=d-n, incremente c par c'=c+1 et calcule d'=Q(lb\c\¥) ; 

15. MS transmet a T les mises a jour d', j\ b' ; 

16. T demande a CM d'ecrire un 1 dans la zone C, d'effacer le contenu tr de la zone de travail Tr, d'y ecrire 
le nouveau contenu tr' form6 par j\ b\ d* ; 

17. T demande a MS de choisir un nouvel alea ; 

18. MS choisit et memorise un alea x* ; 

19. MS adresse x'aT; 

20. T demande a CM de s'authentif ier avec son nouveau contenu nY ; 

21. CM calcule Y'=f(x\m') ; 

22. CM transmet a T la valeur de Y' ; 

23. T demande a MS de verifier Tauthenticite de Y' ; 

24. MS v6rif ie que m* correspond bien 6 i\ c\ j*. b' t d' et v6rif ie que Y^^x'.m') ; 

25. si la verification est positive, MS augmente son solde de n. 

Les operations qui precedent aboutissent a la diminution du solde de la carte et & ('augmentation du mon- 
tant collecte par le terminal. II va de soi qu'on peut appliquer la meme suite d'operations pour recharger une 
carte et augmenter son solde, et diminuer d'autant un terminal de rechargemenL 

Dans les exemples qui precedent, (m) represente le contenu des donnees dans la carte (CM) . Mais il est 
possible de ne pas incorporer dans (m) les donnees du certif icat (d) et celles du solde (b). En effet, ces donnees 
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sont authentifiables indirectement par le fait que Y est une fonction notamment de (j). Ceci peut simplif ier la 
realisation. 



5 Revindications 

1. Proc6d6 de mise a jour d'une information (tr) contenue dans une partie (Tr) d'une nrtemoire (M) contenue 
dans une carte a nrtemoire (CM), & I'aide d'un terminal (T) 6quip6 d'un module de s6curite (MS), la memoire 
(M) contenant une zone compteur (C), le contenu de la partie (Tr) de la nrtemoire (M) & mettre & jour 

10 comprenant un certif icat (d) contenu dans une zone (D) de la partie (Tr), ce certif icat 6tant une fonction 

determinee (g) de ('identity (i) de la carte, d'un solde (b) contenu dans une autre zone (B), du contenu (c) 
de la zone compteur (C), ce procede consistant a : 

- inctementer d'une unite le contenu (c) de la zone compteur (C) avant toute mise a jour de la partie 
(Tr), 

15 - effacer I'ancien contenu (tr) de la partie (Tr) de la memoire (M) et y inscrire & la place un nouveau 

contenu (tr') mis a jour, 
ce procede etant caracteris6 par le fait que : 

- le certif icat (d) est en outre une fonction de I'identite (j) du module de securite (MS) ayant effect ue 
la derntere mise a jour, 

20 - pour effacer le certif icat contenu dans la zone (D) et r6ecrire le certif icat mis a jour, on incremente 

la zone compteur (C), 

- le terminal (T) authentif ie la carte (CM) et son contenu (m) avant et apr6s la mise a jour. 

2. Procede selon la revendication 1, caracteris6 par le fait que le solde (b) contenu dans la zone (B) est un 
25 solde financier, le procede 6tant alors un proc6d6 de paiement correspondant a une prestation. 

3. Procede selon la revendication 2, caracterise par le fait qu'il consiste a : 

a) verifier qu'un certif icat (d) contenu dans une zone (D) de la partie (Tr) est bien une fonction determinee 
(g) de I'identite de la carte (i), de son solde (b), du contenu (c) d'une zone memoire (C) jouant le role de 
compteur, et de I'identite (j) du dernier module de securite ayant effectu£ la derniere transaction, 

b) calculer, dans le module de securite (MS), un nouveau solde (b') qui differe de I'ancien (b) d'un cer- 
tain nombre d'unites (n) correspondant a une prestation, 

c) calculer, dans le module de securite (MS), un contenu de compteur (c') eg a I a I'ancien contenu (c) 
augmente d'une unite (c-c+1), 

35 d) calculer un nouveau certif icat (d') egal a ladite fonction (g) de I'identite de la carte (i), du nouveau 

solde (b'), du nouveau contenu (c') du compteur et de I'identite (j*) du module de securite (MS), 

e) incrementer d'une unite le contenu (c) de la zone memoire (C) de la carte jouant le r6le de compteur 
(c'=c+1), 

f) si et seulement si ce contenu (c*) a 6te effectivement incremente, effacer de la partie (Tr) son ancien 
^ contenu (tr) constitu6 par I'ancien solde (b), I'ancien certif icat (d) et I'ancienne identite (j) du dernier 

module de securite utilise et y inscrire a la place un nouveau contenu (tr') constitu6 par le nouveau 
solde (b') t le nouveau certificat (d') et I'identite (j') du module de securite du terminal, 

g) authentif ier par le module de securite (MS) la carte (CM) et au moins I'identite (j) du nouveau contenu 
(tr') de la partie (Tr), 

45 h) en cas d'authenticite, modifier le solde (s) du module de securite de la quantite (n) correspondant 

a la modification du solde de la carte (s -s+n). 

4. Proc6d6 selon la revendication 3, caracteris6 par le fait que, pour authentif ier une carte (CM) lors de son 
introduction dans un terminal (T) : 

- le module de securite (MS) choisit et memorise un atea (x) et I'adresse au terminal (T), 

- le terminal (T) adresse cet atea (x) a la carte (CM), 

- la carte (CM) lit le contenu de sa rrtemoire (m) et I'adresse au terminal (T), 

- le module de securite (MS) calcule une fonction Y=f(x T m) de I'al6a (x) et du contenu (m) de la rrtemoire 
<M). 

- la carte calcule une fonction Y=f(m,x) de son contenu (m) et de I'al6a (x) re9u et adresse cette fonction 
(Y) au terminal, 

- le module de securite (MS) teste que le r6sultat de la fonction (Y) repue de la carte est bien identique 
au resultat de la fonction qu'il a calcutee. 
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